趋势科技的高级产品管理&技术顾问齐军先生
主持人:对于这种有组织的这种犯罪,刚刚你也提到我们跟国家政府机关有一些合作,我们自己从厂商的角度来出发,比如说产品和技术上有什么样的应对这种犯罪行为?
齐军:首先来讲,在整个面对僵尸网络、面对有组织性的犯罪,政府会起一个很大的主导作用,包括像法律说,包括像一些强制性的政令,这些东西都是政府来做的。我们厂商这边来做其实主要是技术支撑,包括现有产品里边,我们目前已经考虑到很多的僵尸网络其实我们会把傀儡客户端可以归在后门程序或者间谍软件的类别里,所以我们加强这方面厂商的力度。 以前很多的间谍软件大家会比较忽视它,因为间谍软件不像蠕虫、不像那种病毒,他不是说大规模的散发,比如说我面前有一个机器,我感染他一次就够了,而且我感染他以后很可能在三天、五天、两个月的时间里他一直保持静默状态,他没有运行,所以这种情况下你会看到他是攻击力度很弱的东西,如果你不发现很难发现这里面还有这个东西,只有通过细致的注册表的检查,你可能发现有一些蛛丝马迹,另外有一些附加条件。再有,还有时时扫描以前对于内存里边的进程干涉是不够的,现在我们也加强对内存当中的进程要进行积极的检查,对于可疑进程也要上报,也要进行一些对应的分析。
这些技术来讲都用来保证对于以前这种攻击力度不是很强,藏的很深的威胁,能够更早的发现,而一旦发现以后间谍软件有一个例子了间谍软件很难清,我们曾经看到过一个例子,我们不好说他的名字,但事实上我们发现在国内这种是很多的,实际上是一个浏览器临时插件,下载的时候你如果同意安装那就永远卸不了的,平时运行的插件只是你见到的一部分,还有一个监控的组件,我看这个东西是不是在运行,如果没运行他会强制运行,如果你下载,那他会马上知道在网上抓下来给你安装上去。这是很多间谍软件采取的很常见的方式,有破坏力的那部分组件,还有监控破坏力存在的组件是分开的,如果单纯的以原来的防病毒角度看真正有破坏力的才会隔离出来。但是他没有破坏力,他在做我们认为没有意义的事,也没有破坏力,所以我们就会去掉。现在因为我们在加强这部分的查杀,我们会看谁是跟它有关联的,那个是否在正常用,如果没有正常用怎么去掉它。这部分计划我们已经在做,明年年中的时候我们想这部分的加强能够达到一个新的层面上,这是一部分技术准备。
另外,配合公安部门做日志的收集、整理和分析,因为有很多这种事情实际上是要一个专家系统能够从浩如烟海的日志当中分析出,曾经在什么地方有过什么样的事件。如果划一条曲线,相对是比较平的,突然冒出一个小尖,你对这种尖峰不了解的话就会出现大的尖峰,我们现在是把这些东西发现出来,抓住,解决掉。
主持人:就跟防地震似的,大的地震之前会有小地震。
齐军:对,真的僵尸网络形成大规模攻击的时候就很难搞了。
主持人:你说明年间谍网络和僵尸网络可能会大量的爆发,还会有其他的形式吗?
齐军:我昨天特意看了一下,很多人也在讨论关于手机病毒的问题,我们前几天在南京跟我们的研发组专门就手机病毒专门进行了言语状况的回顾。事实上来讲,我们现在看到手机病毒已经有一两百支,但是传播能力相对比较有限。而且我们也注意到,智能手机的占有量相对比较低,有的厂商现在预计说明年智能手机上的病毒就会形成比较显著的攻击波。我们的预测来讲,我们觉得不会那么快,手机病毒明年一定会成为一个讨论的热点,但是从攻击的力度、绝对量、攻击能力来讲,还不会成为明年真正的高峰,我想可能是后年、大后年出现。
但是,我们同时也会注意到,手机和PC比起来,手机用户的安全意识和技术能力相对会弱一些,人人都可以有手机,但是不是人人都会用电脑上网,这种情况下手机病毒一旦会泛滥起来造成心理上的恐慌有可能明年会形成一种引人注目的相等。我们有时候分析病毒的时候会这样讲,它的危害程度从技术层面上是一个分析的纬度,另外还有一个从心理层面上。
比如像SQL的病毒,是很早很早的事件,当时的攻击对象只是说MSDE这样的数据库,大部分人是不会有这种东西的,但是这种攻击的存在阻塞了网络的带宽,当时我们看到铺天盖地的报道出来,所有人都知道有一种病毒会造成网络的瘫痪,所有人造成的恐慌我这段时间就不敢上网,这种层面的恐慌是后面用了很久时间才平复下来的,所以我认为手机病毒也会出现类似的心理恐慌。
(责任编辑:luwei) |